Dígale a las aplicaciones de Android que no lo rastreen, y miles de ellas lo harán de todos modos.

En diciembre, el CEO de Google, Sundar Pichai, concedió durante una sesión con miembros del Congreso que la compañía podría "hacerlo mejor" cuando se trata de ayudar a los usuarios a comprender qué medidas tomar para proteger mejor su privacidad. Desafortunadamente, parece que la compañía también podría hacerlo mucho mejor en lo que respecta a la protección de la privacidad.

El último ejemplo de cómo ese es el caso viene a través de un estudio presentado por los investigadores en PrivacyCon 2019. Encontró que miles de aplicaciones de Android están abusando potencialmente de los permisos del sistema operativo móvil para recopilar datos y posiblemente revelar información crítica sobre el usuario, incluido su ubicación.

De acuerdo con los investigadores, es particularmente grave el hecho de que si le niega a una de las aplicaciones el permiso para obtener datos que podrían identificarlo, otra aplicación a la que le dio permiso podría compartir la información con la otra aplicación. Dicho de otra manera, tomar prestada una analogía utilizada por El borde hoy para describir la situación, es como si un niño le pidiera dulces a uno de los padres, que le dijeran "no" y luego le preguntara al otro padre que termina dándoselo. Según los investigadores, este tipo de cosas es posible cuando las aplicaciones se han creado con los mismos SDK.

Además, los investigadores descubrieron vulnerabilidades, incluidas algunas que pueden enviar datos como su punto de acceso inalámbrico y la dirección MAC única de su enrutador "en casa". Dijo Serge Egelman, director de investigación del Grupo de Seguridad y Privacidad Útil del Instituto Internacional de Ciencias de la Computación cuando presentando los hallazgos del equipo, "Es bastante conocido ahora (que los datos son) un sustituto bastante bueno para los datos de ubicación".

En el estudio se mencionan las aplicaciones de compañías como Samsung, que utilizan SDK creados por la firma de análisis Salmonads y el chino Baidu. Las dos aplicaciones de Samsung mencionadas incluyen las aplicaciones de Salud y Navegador de Samsung, ambas con más de 500 millones de instalaciones. Del mismo modo, el estudio coloca dos aplicaciones de Disney en este mismo cubo, cada una de las cuales es una para los parques temáticos de Hong Kong y Shanghai en Disney. El SDK de Baidu, señalan los investigadores, es capaz de eludir el sistema de permisos de Android y acceder al IMEI del dispositivo, un número único de 15 a 17 dígitos único para el teléfono de todos.

“También descubrimos que las bibliotecas de terceros proporcionadas por dos compañías chinas, Baidu y Salmonads, hacen uso independiente de la tarjeta SD como un canal secreto, de modo que cuando una aplicación puede leer el IMEI del teléfono, la almacena para otras aplicaciones que no pueden ", Señalan los investigadores en un momento del estudio. "Encontramos 159 aplicaciones con el potencial de explotar este canal secreto y empíricamente encontramos 13 aplicaciones que lo hacen".

Otra aplicación a la que llama el estudio es la aplicación de fotos Shutterfly para enviar coordenadas GPS a los servidores de la empresa sin pedir permiso al usuario. Eso se hace mediante el uso de metadatos fotográficos, aunque es importante señalar que Shutterfly ha emitido una declaración para CNET negando que rastrea a los usuarios sin su permiso.

Los investigadores dicen que le han contado a Google sobre sus hallazgos, y las soluciones para algunos de ellos vendrán con Android Q. Desafortunadamente, Egelman usa el comentario reciente de Pichai en una New York Times pieza (que "la privacidad no debería ser un bien de lujo") en su contra, señalando que las soluciones a estos problemas vendrán con Android Q, que no ayudará a los propietarios de teléfonos más antiguos que no reciben la actualización.

Google dijo El borde que, entre los pasos que está tomando en este sentido, en el futuro con Android Q ocultará los datos de geolocalización de las aplicaciones de fotos de forma predeterminada.

Fuente de la imagen: Google